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\ Karte mit integriortor Schaltung 

► IC-Karte zum bidlrektionaien Datentranefer mit einer VW- 
2ahi von Terminals, auf der eln Berechtigungscode f Or die 
Benutzung dar Vielzahi von Terminals durch etnen Benutzer 
dar IC-Karte geapeichert 1st, dedurch gekennzeichnet, 
daS ein Spelcher dee IC in elne Vfetzahl von Beraichan 
aufgeteflt 1st, 

daft Jedam dar Bereiche eln aiganaa VaraohiQeaeEungs- und 
EntechIO welungsbegrfff apaar zugeordnet lat, 
daS die Daten jadet Bereichaa bet Eingabe dot dam Bereich 
zugeordnaten VerschfOeseUingsbegrrfrea an efnern der Ter- 
minals verschlusaelt warden, 

dafi die Daten jedes Bereiches bel Eingabe des dem Bereich 
2ugeordneten EntschlQasalungsbegrrffea an elnem der Ter- 
minals entschlOsselt warden, und 

daB die verschledenen Verschiusaelungs- und EntacrilOsseJ- 
ungsbegrrffepaare Jeweils efnar Anzahl von Personen be- 
kannt gegeben warden, um die IC-Karte fur dteae Anzahl von 
Peraonen verwendbar tu gestalten. 
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Beschreibung 

Die Erfindung betrifft cine IC-Karte gernlB dem 
Oberbegriff des Patentanspruchs. Eine solche IOKarte 
zum bidirektionalen Datentransfer mit Terminals, auf 
der eta Berechtigungscode fur die Benutzung der Ter- 
minals durch eine Person gespeichert ist, ist aus der 
DE29 17 965A1 bekannt 

Eine IC-Karte, (fie aus eine KunststoffkartenkSrper, 
tadeneinlQALetaetategrierteSchaitimgei^^ 10 
ist, soil eine einzelne Person identifizieren, eine Fal- 
schung erschweren und eine groBe Speicherkapazftat 
haben und findet ihre Anwendung bei der elektroni- 
schen Abrechnung, bei Personalinfonnationskarteien, 
der Sicherheitskontrolle uJL 15 

Wenn eine Person in Supermfirkten oder WarenMu- 
sern unter Verwendung einer einzeinen IOKarte ein- 
kauft, ist es vom Standpunkt der Beibehahung der Ver- 
traulichkeit wunschenswert, daB eine Liste von Kiufen 
in einem GeschSft nicht in anderen Geschaften gele&en 20 
werden kann, in denen der Kunde andere K&ufe t&tigt 
Zu diesem Zweck soilte die IC-Karte mit Transaktions- 
bereichen versehen seta, die-in Abhangigkeit von den 
Geschaften verschieden sind, so daB ein Geschaft kei- 
nen Bezug auf die Transaktionen von anderen Geschfif- 35 
ten nehmenkann. 

Bisber besteht eine erste Schwierigkeit darin, daB es 
weder ein Verfahren zum Sctultzen einer Vielzahl von 
Transaktionsbereichen in derselben IC-Karte fiber ver- 
schiedene Verschlflsselungsbegriffe noch eta dazu ge- 30 
eignetes Schlflsselsteuerverfahren gibt Unter den 6f- 
fentlichen Verschhlsseiungssystemen gibt es anderer- 
seits beim RAS-Verfahren und beim Rabin-Verfahren 
einen HauptschlusseL Unter Verwendung des Haupt- 



men und es gleichif alls nur einem begrenzten Personen- 
kreis mdglich machen, im Notfall Daten zu entnehmen. 

Dazu wird gem&B der Erfindung beim Einschreiben 
der Daten an den Transaktionsbereichen der IC-Karte 
oder beim Lesen der Daten von diesen Transaktionsbe- 
reichen der folgende Arbeitsablauf ausgefilhrt 

(i) Der IC-Karten-Herausgeber oder -Verwalter 
bereitet vorher Gruppen von VerschMsselungs- 
und Entsddflsselungsbegriffen in der Anzahl der 
Transaktionsbereiche vor, die gebeimgehalten wer- 
den, und bildet einen Hauptentschlttsselungsbegrif f 
fur alle Entschlusselungsbegriffe. 

(ii) Der Kartenverwalter- oder -herausgeber ord- 
net einen VerschiQsselungsbegriff und einen Ent- 
schiasselungsbegrif f jedem Transaktionsbereich zu, 
schreibt einen oberen verf Ogbaren Geldbetrag und 
den Verschlusselungsbegriff oder den Entschlussel- 
ungsbegriff an einem Teil des TYansaktionsberei- 
ches ein und verschltisselt den obigen Transak- 
tionsbereich unter Verwendung des Verschlussel- 
ungsbegriff es. 

(iii) Der I&Kartenverwalter oder -herausgeber 
Obergibt die IC-Karte dem Benutzer. Er handigt 
weiterhin den Verschlfissehingsbegriff und den 
Entschldsselungsbegiiff den einzeinen Geschaften 
aus, so daB diese die Transaktionsbereiche ver- und 
entschlGsseln k&nnen. 

Aufgrund der oben beschriebenen Arbeitsvorglnge 
(i) bis (iii) haben die verschiedenen Geschafte verschie- 
dene VerschlQsselungs- und EntschlQsselungsbegriffe. 
Ein gegebenes Geschift kann daher nur die Transak- 
tionsbereiche, die dem Entschlilsselungs- und Verschliis- 



schlQssels kann die oben erw&hnte Schlasseisteuerung 35 selungsbegriff entsprechen, die das Geschaft hataus ei 



wirksam ausgef flhrt werden, 

Eine zweite Schwierigkeit besteht bisher darin, daB 
die Fdlschung der IC-Karte und die Anderung oder Fal- 
schung von Daten in der Karte nicht berucksichtigt 
wurden. 

Eine dritte Schwierigkeit besteht darin, daB die her- 
kdmmliche IC-Karte unter der Voraussetzung herge- 
stellt wurde, daB sie von einer einzeinen Person benutzt 
wird (siehe Nikkei Computer "Will the Age of IC Card 
will Come? 0 , 8. Juli 1985). Gesundheitsdaten, Vermfc- 
gensdaten und ahnliche Daten kdnnen der IC-Karte ein- 
gegeben werden, urn diese zu benutzen, Zus&tzlich zu 
dem Pall, in dem der Benutzer selbst die Personenidemi- 
fizierungsnummer etagibt, um die gewunschten Daten 



ner Vielzahl von Transaktionsbereichen verarbeiten, die 
in der IC-Karte enthaken sind- Das macht es mSglich, 
die VertrauEchkeit fOr den Benutzer zu schutzen. Der 
IC-Karten-Herausgeber Mit den Hauptentschhlssel- 
40 ungsbegriff, der willkuriich alle Transaktionsbereiche 
der IC-Karte entschlussein kann, um deren Inhait ken- 
nenzulernen. Der Hauptentschlfisselungsbegriff kann 
daher dann benutzt werden, wenn die einzeinen Ent- 
schlasselungsbegriffe verlorengegangen sind. Der 
45 Hauptentschlfisselungsbegrif f muB. Weiterhin nicht fur 
die Transaktionen verwandt werden, er kann sicher auf- 
bewahrt werden, 

Gemfifi der Erfindung werden weiterhin die Daten in 
der Karte dadurch erfaBt, daB der Saldo und eine Da- 



zu erhalten, Etommt es jedoch audi oft vor, daB ein Am 50 tenfinderungscodierung geprftft werden, um mit Ande- 



oder ein Bankangestellter eine andere Personenidentifi- 
zierungsnummer etagibt, um alle gewflnschten Daten 
oder einen Teil der gewtoschten Daten, beispielsweise 
in einem NotfaD, zu entnehmen, 

Atifgabe der Erfindung ist es, die bekannte IC-Karte 
so aus zubilden, daB sie fQr eine Anzahl von Personen 
verwendbar ist, aber jede Person nur auf bestimmte 
Bereiche des Speichers der IC-Karte Zugriff hat 
Diese Aufgabe wird bei einer gattungsgem&Ben IC- 



rungen der Daten fertigzuwerden. Die Datenfinderung 
in der Geschtftstransaktionsdatei oder in der Bank- 
transaktionsdatei wird weiterhin dadurch geprOft, daB 
die Daten^nderungscodienmg und die IC-Kartendaten 
33 gemischt und sortiert werdenu 

Eine Daten&nderungsdetektorschaltung ahnelt im 
Prinzip dem Algorithmus einer Codefehlerdetektor- 
schaltung und kann dadurch verwirklicht werden, daB 
eine Verschttsselungsvorrichtung verwandt wird und 



Karte durch die im kennzeichnendea Teil des Patentan- so deren Ausgangsdaten zum Eingang rQckgekoppek wer- 
spruchsangegebenenM&BnahmengeB5st den* 

Die erfmdungsgemaBe IC-Karte scfl es insbesondere 
mOghch machen, eine Falschung der. Karte oder eine 
Falschung oder Anderung der Daten in der Karte, bei- 
spielsweise einer bargeldlosen Einkaufskreditkarte fest- 
zustellea 

Die erflndungsgem£LBe IC-Karte soil es schlieBlich 
dem Benutzer der Karte erlauben, die Daten zu emneh- 



SchHeBIich kann ein Mikroprozessor der IC-Karte 
auf der Grundlage dor eingegebenen Personenidentifi- 
zierungsnummer (zusltzlich zu Nummern sind auch Co- 
es dierungen akzeptabel) die Zulassigkeitsstufe festlegen, 
und kann ein zugreifbarer Datenbereich bestimmt wer- 
den, um die erlaubten Daten zu liefern. 
Im f olgenden werden anhand der zugehdrigen Zeich- 
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nung besonders bevorzugte AusfQhrungsbeispiele der 
Erfindung nfiher beschrieben, Es zeigen 

Fig* 1A und IB in Blockschaltbildem den Aufbau ei- 
nes ersten Ausfiihrungsbeispiels der erfindungsgeraa- 
Ben IC-Karte, 

Fig. 2 das FluBdiagramm ernes Arbeitsablaufes, wenn 
der Benutzer einen Kauf in einem Gesch&ft unter Ver- 
wendung der IC-Karte t§tigt, 

Fig. 3 in einem Blockschaltbild den Aufbau eines 
zweiten AusfQhrungsbeispiels der erfindungsgemSBen 
IC-Karte wShrend des Einkaufs, 

Fig. 4 in einem BlockschaKbiid den Aufbau der Da- 
tenSnderungsdetektorschaltung in der IC-Karte, 

Fig. 5 in einem Blockschahbiid den Aufbau eines drit- 
ten Ausfiihrungsbeispiels der erfindungsgemiBen IC- 
Karte bei einem IC-Kartensystem fiir Gesundheitsda- 
ten, 

Fig. 6 in einem Diagramm den Datenaufbau in einem 
Festspeicher ROM und 

Fig. 7, in einem Diagramm den Datenaufbau in einem 
EEROM 

Die F5g. 1A und IB zeigen den Aufbau eines ersten 
Amftthningsbeispiels der erfindungsgemiBen IC-Karte. 

Eine derartige IC-Karte wird zunichst in der folgen- 
den Weise vorbereitet 

Ein IC-Kartenherausgeber 101 bereitet Gruppen 102, 
103, ICS, 107 von VerschlQsselungsbegriffen und Ent- 
schlttssehmgsbegriffen sowie einen Hauptentschlttssei- 
ungsbegriff 108 fiir die EntschlQsselungsbegriffe 103 . 
107 vor und hilt den HauptentschlQsselungsbegriff ge- 
heiia Danacb Qbergibt der IC-Kartenherausgeber 101 
die Gruppen 1102, 103 . 103, 107 von Verschlusselungs- 
und Eatschlusselungsbegriffen den GeschSften 109 ... 
111. Der IC-Kartenherausgeber schreibt weiterhin ei- 
nen verfQgbaren oberen Geldbetrag in die Transak- 
tionsbereiche 122 ... 124, Der IC-Kartenherausgeber 
verschlQsselt dann die Gruppen 102, 14B 10S, 107 der 
Verschltoelungs- und EntschlQsselungsbegriffe mit 
dem VerschlQsselungsbegriff, der jeder der Karten ent- 
spricht, und schreibt jeweils eine Schlusseibegriffsgrup- 
pe in jeden SchlQsselspeicher SO ... 1115 der IC-Karte 
125. Dann verschlfisselt er die Berechtigungscodierun- 
gen entsprediend den an jedem Transaktionsbereich 
eingeschriebenen Daten mit dem Verschltisselunggbe- 
griff, der jeder der Karten entspricht, und schreibt diese 
Codierungen nieder. Der IC-Karten-Herausgeber Ober- 
gibt dann die IC-Karte 125 einem Benutzer 11& 

Die Berechtigungsoodierung bezieht sich dabei auf 
die Daten, die an den Transaktionsbereichen einge- 
schrieben sind, die komprimiert sind 

Ober einen Eingabe/Ausgabeteil 112 werden Daten 
in einen Speicher 119 eingeschrieben und vom Speicher 
119 gelesen, indem ein Prozessor 117 unter der Steue- 
rung einer Software oder eines Programmpaketes be- 
trieben wird, das in einem Festspeicher 1 IS enthal ten ist 

Fig. 2 zeigt ein FluBdiagramm fQr dea Arbeitsabiauf 
der IC-Karte, wenn der Benutzer tW einen Kauf in 
einem Geschaft 109 tfitigt 

201: Der Benutzer gibt seine Personenidentifikations- 
nummer Ober den Eingabe/Ausgabeteil m den Prozes- 
sor 117 ein. 

202: Der Prozessor 117 entnimmt die Personenidenti- 
fikationsnummer von einem geheimen Bereich 121 un- 
ter der Steuerung der Software 120. 

203: Der Prozessor 117 erzeugt Ober den Eingabe/ 
Ausgabeteil ein zustimmendes Signal Ordnung", 
wenn die Personenidentifmerungsnummer, die vom Be- 
nutzer IIS eingegeben wurde, mit der Personenidentifi- 



zierungsnummer ubereinstimmt, die im geheimen Be- 
reich enthalten ist, und erzeugt ein negatives Signal 
D nein w , wenn das nicht der FaB ist 
204: Wenn das negative Signal erzeugt wird, schreibt 
5 der Prozessor 117 keine Daten oder liest der Prozessor 
117 keine Daten mehr, bis das positive Signal das ntch- 
stemal erzeugt wird. 

20S: Wenn das positive Signal erzeugt wird, emeuert 
das Gesch&ft 109 den Inhait des TVansaktionsbereiches 
io 122 unter Verwendung des VerschlQsselungsbegriffes 
102 und des Entschlfisselungsbegriffes 103 in Abhangig- 
kert von dem was der Benutzer 1 IS gekauft hat 

Im folgenden wird im einzelnen beschrieben, wie der 
Inhait des Transaktionsbereiches neu geschrieben wird 
is Der EntschlQsselungsbegriff 103 wird n&mlich in die IC- 
Karte 125 durch das Geschaft 109 eingegeben und die 
Daten im SchlQsselspeicher 113 werden mit dem Ent- 
schlQsselungsbegriff 103 entschMsselt Dann wird best&- 
tigt, ob die Berechtigungscodierung, die in den ent- 
20 schlQsselten Daten enthalten ist, mit einer Berechti- 
gungscodierung in Obereinstimmung steht, die aus den 
Daten des Transaktionsbereiches 122 berechnet wird 
Nachdem diese Obereinstimmung best&tigt worden ist, 
werden der Transaktionsbereich 122 und die Berechti- 
25 gungscodierung in AbhSngigkeit von dem Wert des 
Kaufes neu geschrieben, woraufhin die Daten im 
Schlflsselspeicher 113 mit dem obigen Verschlussel- 
ungsbegriff verschHisselt werden. 
Wenn sich jedoch heraussteilt, daB die Berechtigungs- 
30 codierungen nicht miteinander Qbereinstimmen, erzeugt 
die IC-Karte ein Signal, um das Geschaft 109 Ober diese 
Tatsache zu informieren, so daB das Geschaft 109 die 
notwendigen MaBnahmen ergreifen kann, um den Kauf 
zuunterbinden. 
35 Im folgenden wird ein Beispiel eines Einkaufs unter 
Verwendung eines zweiten AusfQhrungsbeispiels der 
erfindungsgemiBen IC-Karte beschrieben. 

Bei diesem Beispiel eines Einkauf s kfinnte ein unlau- 
teres Geschaft dadurch zustandekommen, daB die Da- 
40 ten in der Karte geSndert werden, beispielsweise die 
Daten des Bargeidempfangs von einer Bank und die 
Daten uber den Verkauf und den Kauf ge&ndert wer- 
dea 

Hg* 3 zeigt das Blockschaltbild einer IC-Karte, die 

45 diese Art eines tmlauteren Gesch&ftes verhindert 

Die IC-Karte kann nicht auf den n&chsten Arbeitsvor- 
gang Qbergeheo, es sei denn, daB der Benutzer der IC- 
Karte durch eine Mischschaltung auf der Grundlage 
eines Kennwortes oder ahnlichem bestatigt wird Eine 

so Sicherheitscodiening 2 ist in einen Festspeicher einge- 
schrieben, der nicht direkt von auBen gelesen werden 
kann. Eine Kontonummer 3 ist gleichfalls in den Fest- 
speicher eingeschrieben. Eine Datenfinderungsdetek- 
torschaltung 4 bildet eine verschlQsselte Berechtigungs- 

55 codierung, bdem sie das Ausgangssignal einer Ver- 
schlQsselungsvorrichtung zu deren Eingangsseite rOck- 
koppelt, wie es in FJg. 4 dargestellt ist Wenn somit die 
Daten SI ♦ . . 64* die zu autorisieren sind, ge&ndert und als 
Daten <S in 4 eingegeben werden, pflanzen sich die 

60 Auswirkungen der Bits der geSnderten Daten der Reihe 
nach nach vorae fort und wird eine Codierung 65 gebil- 
det, die sich von der ursprQngiichen Codierung unter- 
sdieidet Die Tatsache einer Datenfinderung wird daher 
festgestellt 

as Eine Eingabe/Ausgabesteuerschaltung S ist eine 
Schnhtstellenschaitung zwischen der IC-Karte und den 
Terminals 30, 31 fQr die Karte. Eine Datei 6 betrifft die 
Eingabezeiten. die TerminaJ-Nummern, den Bargeld- 
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eropfang und die Zahlungen, den Kontostand, die Da- 
tenfindemngsfeststellungscodierung a& 

Um den Bargddempfang auf die Karte zu schreiben, 
wird die Karte sun&chst in ein Bankterminal 30 einge- 
fQhrt und wird von der Tastatur aos ein Kennwort em- 5 
gegeben. Das Kennwort wird liber die Bingabesteuer- 
schaltung 5 eingegeben und mit der Codierung in der 
Schaltung durch die Mischschaltung gemischt, um si- 
cherzustellen, daB es sich bei der eingebenden Person 
um eine Person handelt die Besitzer der Karte ist Wenn 10 
das Mischergebnis positiv ist, wird die Konto-Nummer 
der Eingabe/Awgabesteuerschaltung 5 auf ein Signal 
von der Mischschaltung H ansprechend zugefflhrt Esae 
Konto-Datei wird dann am Bankterminal gedffnet 
Wenn Bargeldempfangsdaten von der Tastatur der Kar- 15 
te eingegeben werden, wird eine Sidierheitsoodierung 
am Terminal zusammen mit dem Bargddempfang, der 
Zeit- dem Kontostand und der Terminainummer einge- 
geben. In der Karte werden die Oaten, die durch die 
Eingabesteuerschakung hindurchgegangen sind, der 20 
Daten£nderungsfest?tellungsschaltung 4 zugefuhrft, die 
eine DatenSLnderungsfesmeOungsoodierung dadurch 
bildet, daB sie die Zeit, die Terminainummer und den 
Bargeldempfang als Eingangswerte der VerschlOssel- 
ungsvorrichtung mit der Sicherheitscodierung der Kar- 35 
te und der Sfcherheitseodierung des Terminals als 
Kennbegriff e liefert Diese Daten werden in die Datei © 
geschrieben imd gleichzeitig in die Konto-Datei ge- 
schrieben. Die Sicherheitscodierung 2 des Terminals 
wird am Sicherheitscodierungsbereich der Karte aufge- 30 
zeichnet Der S&&erheitscodierungsbereich ist dabei ein 
Speicherbereich, der mit einer Einrichtung zum Schtit- 
zen der Daten in Form einer Hardware und einer Soft* 
ware versehen fct, so daB die Daten durch eine auBen- 
stehende Person nicht entnommen werden konnen und 35 
keine Daten von einer auBenstehenden Person einge- 
schrieben werden kdnnen. 

Um in einem GeschMft einzukaufen, wird die Karte 
mit einem Einkaufsterminal 311 verbunden und wird ein 
Kennwort durch die Tastatur am Einkaufsterminal 311 40 
eingegeben. Wenn das richtige Kennwort eingegeben 
wird, liest das Einkaufstenninal den Kontostand von der 
Karte. Nachdem der Kontostand gepritft ist, werden die 
Preise fur die gekauften Waren ttber die Tastatur am 
Terminal 31 eingegeben. Wenn die Bargekkahlung, die 45 
Zeit, der Kontostand, die Einkaufstenninalnummer wd 
die Sicherheitscodierung am Terminal eingegeben wer- 
den, wie es obea beschrieben wurde, empflngt die Ba- 
tenanderungsfeststeUungsschaltung 4 in der Karte die 
Zeit 611, die Tefnnainalnummer ®2, den Bargeldempfang 30 
und die Zahlng @3 und den Kontostand ©4 als Ein- 
gangsdaten, um eine Datenanderungs^eststeDung^o- 
dierung SS zusammen mit den Sicherbeitscodienuiigen 
der Karte und des Terminals als Schlteelbegriffe m 
bilden. Diese Daten werden in die Dates 8 geschnebeft 55 
und gleichzeitig fiber das Einkaufsterminal 311 zusaun- 
men mit der im Kontonummernfeld autfgezeichneteini 
Kontonununer in die Geschaf tstraraaktionsdatei 22 ge- 
schrieben. 

Die Gesch&ftsfcransaktionsdatei 32 wird auf die Bank 60 
Gbertragen, far jede Kontonummer umgeordnet umi in 
die Kontodatei 33 geschrieben. 

Wenn das Gwthaben kleiner wird und der Benuftzer 
erneut einen Bargeldempfang auf die Karte schreiben 
will, ftlhrt er die Karte in das Bankterminal 30 ein und 65 
gibt das Kennwort ein. Wenn das Kennwort annehmbar 
ist, kann die Date der Karte vom Bankterminal 3® aus- 
gelesen werden. Das Bankterminal liest die Kontomum- 
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mer von der Karte und dfEnet eine Kontodatei, in die 
bereits Daten vom Gesd&ft geschrieben worden sind. 
Eine lautere oder unlautere Behandlung wird daher da- 
durch unterschieden, daB die Datei der Karte mit der 
Kontodatei zusammen gefuhrt and der Kontostand ge* 
prflftwird. 

Wenn beide Aufzeichnungen richtig sind, werden die 
Auf zeichnungen von dein Kartendatei geldscht 

Wenn alle Aufzeichnungen annehmbar sind, Qber- 
trtgt die Bank die Geldmenge, die der Verbraucher im 
Gesch&f t ausgegeben hat Der Kontostand wird in der 
Bankberechnet 

Um den Kontostand zu pnifen, werden Barauszah- 
Iungen 63 infolge jedes Einkaufe von dem Anfangskon- 
tostand der K&rtendatei abgezogen, und wird das Er- 
gebnis dieser Subtraktion mit dem Kontostand 34 zu- 
sammengezlhlt 

Wenn die Aufzeichnungen nicht Qbereinstimmen, 
wird die Sicherheitscodierung am Terminal f Or jede der 
Aufzeichnungen von der Bankdatei auf der Gmndlage 
der Terminainummer <S2 der Aufzeichnungen ausgele- 
sea Die Sicherheitscodierung und die Aufzeichnung 
werden dann der Karte eingegeben, um eine DatenSn- 
derungsfeststellungscodierung von der Karte zu erhal- 
ten. Um diese Codierung rait der Daten&nderungsfest- 
steilungscodierung der vorhergehenden Aufzeichnung 
der Karte oder der Bankdattei zusammen zu f Qhren, wird 
darauf w&hrend der Prfifnng der Feststellungscodierung 
Bezug genommen. 

Es sei im folgenden angenommen, daB die Aufzeich- 
nung nicht in Ubereinstimmung steht, wobei der Inhalt 
der Aufzeichnung, der nicht in Obereinstimmung steht 
die Zeit ist In diesem Fafl wird die Aufzeichnung der 
Zeit, die in Obereinstimmung mit irgendeiner der Auf- 
zeichnungen steht gefunden. 

a) Die IC-Karte enthSlt keine entsprechende Auf- 
zeichnung und die Feststeliungscodierungspriifung 
der Bankaufzeichnung und die Priif ung des Konto- 
standes sind in Ordmmg. In diesem Fall enth&lt die 
Karte keine Aufzeichnung und es wird davon aus- 
gegangen,, daB die Aufzeichnung von der IC-Karte 
geidschtist 

b) Die IC-Karte enth&lt keine entsprechende Auf- 
zeichnung und die Pr&fung der Feststellungscodie- 
rung der Bank&ufzeidmung ist nicht annehmbar. In 
diesem FaB wurde die Aufzeichnung auf der Seite 
der Bank zugegebm und es wird davon ausgegan- 
gen, dafi die Aufeeidinung unberechtigt in die 
Bankdatei gegeben wurde. 

Dieseiben Feststellungen kdnnen audi dann getroffen 
werden, wenn auf der Seite der Bank keine entsprechen- 
den Aufzeichnungen vorimiden sind. 

Wenn die Aufeeidmumg mcht in Obereinstimmung 
steht, wobei der Inhalt der Aufzeichnung, der nicht in 
Obereinstimmung steht die Terminainummer und der 
Bargeldempfang und die ZaWimgen sind, wird eine ein- 
wandfreie oder nicht einwandfreie Behandlung dadurch 
festgesteOtp daB jede Feststellungscodierung geprQft 
wird. 

Wenn weitedik die Aufeeichnung nicht in Oberein- 
stimmung steht und der Inhalt der Kontostand ist wird 
eine einwandfreie oder nicht einwandfreie Behandlung 
dadurch f estgestelh, daB jeder Kontostand geprUf i wird. 

Es ist audi erlaubt, statt der Zdtdaten Hummeru wie 
beispielsweise Seriennuminem zu verwenden> 

Bei dem oben beschriebenen AusfOhrungsbeispiel der 
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Erfmdung ist es mdglich, Anderungen dcr Daten in der 
IC-Karte oder in der Bankdatei f estzustellen. 

Im foigenden wird ein drittes Ausf Qhrungsbeispiel der 
erfindungsgemaBen IC-Karte anhand der Fig. 5 bis 7 
beschrieben. 

Fig. 5 zeigt in einera Diagramm schematised den Auf- 
bau eines IC-Kartensystems far Gesundfaeitsdaten, bei 
dem die IC-Karte 100 mit einem dafOr vorgesehenen 
Terminal 200 fiber eine Schnittstelle 2S0 verbunden ist, 
urn die Funktionen der IOKarte darzustellen. 

Die IC-Karte 100 besteht aus einem Mikroprozessor 
1120, einem Festspeicher ROM MO, einem programmier- 
baren Festspeicher PROM 130 und einem elektrisch 
16schbaren programmierbaren Festspeicher EEPROM 
140, die fiber Signalleitungen 1150 miteinander verbun- 
den sind. Wenn die IC-Karte 100 fiber eine Signalleitung 
160 mit dem Terminal 200 fOr die IC-Karte verbunden 
ist, wild das Programm im PROM 130 in den Mikropro- 
zessor 120 geiaden, so daB es benutzt werden kann. 

Das Terminal 200 fQr die IC-Karte besteht aus einem 
Mikrocomputer 240, einer Tastatur 210 und einer An- 
zeige 220, die flber Signalleitungen 170 mitteinander ver- 
bunden sind Der Mikrocomputer 240 ist weiterhin iiber 
eine Signalleitung 180, einen Modem 310, eine Gffentli- 
che Telefonleitung 320 und einen weiteren Modem 330 
mit einem Datenverarbeitungszentrum 400 verbunden* 
Das Datenverarbeitungszentrum 400 besteht aus einem 
Computer 410 und einer Datenbank 420. 

Der Besitzer der IC-Karte 100 kann einen Arzt aufsu- 
chen, der nicht sein Hausarzt ist, und seine Personeni- 
dentifizierungsnummer flber die Tastatur 210 eingeben* 
Das Signal wird dann Ober den Mikrocomputer 24® auf 
der Seite des Terminals 200 dem Mikroprozessor 120 in 
der IC-Karte zugefflhrt Der Mikroprozessor 120 ftthrt 
fiber den Speicher ROM 1 10 einen Suchvorgang durch. 

Der ROM UQ hat dabei den in F%. 6 dargestellten 
Datenaufbau. Der Datenaufbau besteht somit aus einer 
Personenidentifizierungsnummer 111 des Besitzers der 
IC-Karte 100, einer Zul&ssigkeitsstufe 112 des Infonna- 
tionsbezuges des Besitzers, Zulassungsoodierungen 113 
der praktizierenden zugelassenen Arzte, deren Persone- 
nidentifizierungsnummern 1H deren Zul&ssigkeitsstufe 
115 des Informationsbezuges, Berechtjgungscodierun- 
gen 117 der Daten der zugelassenen Arzte und einer 
ZulEssigkeitsstufe 116 des Informationsbezugs fttr nicht 
zugelassene Arzte. 

Wenn der Mikrocomputer 1120, der einen Suchvor- 
gang durch dem Speicher ROM 110 ausffihrt, die Perso- 
nenidentifizierungsnummer, die eingegeben wird, als 
fibereinstimmend mit der Personenidentifizierungsnum- 
mer 1 1 1 des Besitzers anzeigt, wird die Zulissigkeitsstu- 
fe 112. des Informationsbezuges ausgelesen. Es sei ange- 
nommen, daB es nur eine Stufe 1 gibt Auf der Grundla- 
ge dieser Stufe liest der Mikroprozessor 1120 die Datei 
im EEPROM 140. 

Fig. 7 zeigt den Datenaufbau im EEPROM 1140. Dabei 
sei angenommen, daB die Daten A 141, die mit der Stufe 
1 und der Stufe 2 zugreifbar sind, die Daten B 142, die 
nur mit der Stufe 1 zugreifbar sind, im EEROM 140 
enthalten sind. Beispielsweise enthalten die Daten A 141 
die ffir die Diagnose und Therapie notweadigen Infor- 
mationen wie die Blutgruppe, das Diagnoseergebnis ei- 
ner medizinischen Untersuchung, die Krankengeschich- 
te uJL — Die Daten B 142 enthalten Daten wie die 
famili&ren VerMhnisse u. a. die keinen direkten Bezug 
auf die Diagnose und die Therapie haben, sowie diejeni- 
gen Daten, von denen der Besitzer der Kane nicht 
wfinscht, daB andere Personen ohne seine Eriaubnis da- 
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von Kenntnis erhalten. 

In diesem Fall wird die Stufe 1 durch den Mikropro- 
zessor 120 gegeben, urn einen Zugriff zu den Daten A 
141 und zu den Daten B 142 zu ermOglichen. Die Daten 
5 werden n&mlich vom Mikroprozessor 120 dem Mikro- 
computer 240 filr das Terminal zugefuhrt, einer Verar- 
beitung zur Anzeige unterworfen und an der Anzeige- 
einheit 220 angezeigt Die Daten werden audi fur den 
Arzt angezeigt, urn fQr die Diagnose und Therapie her- 
io angezogen zu werden. Bin Teil der Ergebnisse wird 
audi Ober die Tastatur 210 eingegeben und in den Da- 
tenbereich A 141 oder den Datenbereich B 142 im 
EEPROM 140 ilber den Mikroprozessor 240 den Mikro- 
prozessor 120 uJL geschrieben. 
15 Es kann dabei vorkommen, daB der Besitzer der IC- 
Karte 100 bei einem Verkehrsunfall einer Notbehand- 
lung bedarf, ohne in der Lage zu sein, selbst seine Perso- 
nenidentifizierungsnummer einzugeben. In diesem Fall 
gibt der Arzt seine Zulassungscodierung als praktizie- 
20 render Mediziner und seine Personenidentifizierungs- 
nummer fiber die Tastatur 210 ein. Das Eingabeergebnis 
liegt am Mikroprozessor 110 in der IC-Karte 100, und 
zwar fiber den Mikrocomputer 240. Der Mikroprozes- 
sor 120 bildet eine Berechtigungscodierung mit der Per- 
25 sonenidentifizierungsnummer IM als Schlfissel und mit 
den Daten des zugelassenen Ames als Eingangsdaten, 
steilt sicher, ob die in dieser Weise gebildete Zulassig- 
keitscodierung in Obereinstimmung mit der Zultaig- 
keitsoodierung U7 steht, die in die Datei geschrieben ist, 
30 und vergleicht die Zulassungscodierung 1113 des nieder- 
gelassenen Arztes und die Personenidentifizierungs- 
nummer 114 des zugelassenen Arztes im ROM 110 mit 
der Zulassungscodierung und der Personenidentifizie- 
rungsnummer, die eingegeben sind. Wenn diese Daten 
35 flbereinstimmen, liest der Mikroprozessor 120 die Zu- 
l&ssigkeitsstufe US des Informationsbezuges und die 
Daten, die dieser Zulassigkeitsstufe genfigen, vom 
EEPROM 140* Das Ergebnis wird fiber den Mikropro- 
zessor 120 und den Mikrocomputer 240 an der Anzeige- 
40 einheit 220 angezeigt 

Wenn die Zulassungscodierung des Arztes im ent- 
sprechenden ROM 110 gefunden wird, die Personeni- 
dentifizierungsnummer jedoch nicht fibereinstimmt, 
wird diese Tatsache an der Anzeigeeinheit 230 ange- 
45 zeigt und wird der Arbeitsvorgangabgeschlossen. 

Wenn sogar die Zulassungscodierung des niederge- 
lassenen Arztes im ROM 110 nicht gefunden wird, wer- 
den die Zulassungscodierung und die Personenidentifi- 
zierungsnummer, die vom Arzt eingegeben werden, 
50 dem Datenverarbeitungszentrum 400 zugefuhrt, wo der 
Computer 410 zusammenstelfcob die Datenbank Daten 
enth&t, die mit der Zulassungscodierung und der Perso- 
nenidentifizierungsnummer fibereinstimmea Wenn das 
der Fall ist, wird eine geheime Codierung, die die Ober- 
55 einstimmung anzeigt, der IC-Karte SCO fiber den Mikro- 
computer 240 zugeffihrt Die IC-Karte 100 entnimmt die 
Daten in Abh&ngigkeit von der Zul&ssigkeitsstufe 11$ 
des Informationsbezuges fQr nfcht registrierte Arzte 
und zeigt die Daten an der Anzeigeeinheit 220 an. 

Wenn die Zulassungscodierung des Arztes oder die 
Personenidentifizierungsnummer des Arztes, die einge- 
geben wird, nicht fibereinstimmt, wird diese Tatsache an 
der Anzeigeeinheit 220 angezeigt und wird der Arbeits- 
vorgang abgeschiossen. 

Um eine zu&Dige Obereinstimmung zu vermeiden, 
die dann auftreten kdnnte, wenn Daten mehrfach einge- 
geben werden, ist es erlaubt, die GegenmaBnahme vor- 
zusehen, daB ein Zugriff nicht mehr mSglich ist, wenn 
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eine falsche Pereonenidentifizierungsnummer mehr als 
M-mal eingegeben wird wobei M eine bestimmte Zahl 
ist Wenn ein Zugriff zum Datenverarbeitungszentrum 
erfolgt, kann es weiterhin vorgesehen sein, die Zulas- 
sungscodierung des Arzles, die Daten und die Zeit und 5 
den Besitzer der Karte in der Dateabank des Datenver- 
arbeitungszentrums zur Datenerf assung zu belassen. 

Im vorhergehenden wurden die F&lle beschrieben, bei 
denen getrennte Inhalte im Speicber ROM HHO und 
EBPROM 140 gespeichert sind Die Inhalte kdnnen je- to 
doch audi gemeinsam im EEPROM H40 gespeichert 
sein. Weiterhin kann ein Speicher mit direktem Zugriff 
RAM statt des EEPROM verwandt werden, vorausge- 
setzt, daB die Daten gespeichert sind, ohne geidscht zu 
werden. 15 

Die vorhergehenden AusfOhrungsbeispiele bcfaBien 
sich mit den Fallen, in denen zwei Zulfcsigkeitsstufen 
des Inf ormationsbezuges vorhanden waren. Es versteht 
sich jedoch, daS auch drei oder mehr Zulassigkeitsstuf en 
des Informationsbezuges vorgesehen sein kdnnen. 20 

Obwohl die obige Beschreibung sich weiterhin auf ein 
IC-Kartensystem ffir Gesundheitsdaten bezog, eigne! 
sich die erfindungsgem&Be Ausbildung auch bei einem 
IC-Kartensystem fQr Besitz- oder Vermdgensdaten und 
bei Mhnlichen Systemen, bei denen eine dritte qualifier- 35 
te Person gezwungen sein kann, auf die Daten in einem 
Notf all zuzugreifen. 

Das erfindungsgemaBe System, bei dem ein Bankin- 
stitut die Rolle des IC-Kartenherausgebera spielt und 
eine IC-Karte fOr einen Benutzer ausgibt, so daB dieser 30 
in einer Vielzahl von Gesch&f ten einkaufen kann, hat die 
folgendenVorteile: 

1. Schutz der Vertraulichkeit: Daten wie beispiels- 
weise der Name des Handlers und der Geldbetrag 35 
werden mit VerschlQsselungsbegriffen verschltts- 
selt, die fQr die jeweiligen Geschafte verschieden 
sind, und auf die IC-Karte geschrieben. Das heiBt, 
daB die Situation, in der die Karte in einem Ge- 
schaft benutzt wurde, fur die anderen Geschafte 40 
geheim bleibt und die VertrauKcbkeit fQr den Be- 
nutzer geschtttzt wird 

2. Leichte Schlflsselverwaltung: Der IC-Kartenver- 
walter, der einen HauptentschlOsselungsbegriff fur 
einen Benutzer hat, kann alle Daten in der IC-Karte 45 
entschlflssein. Der IC-Kartenverwalter bendtigt ei- 
nen geringeren Arbeitsaufwand fQr die SchlOssel- 
verwaltung beim Begleichen der ausgegebenen 
GeldbetrSge, (tie in der IC-Karte aufgezeichnet 
sind 50 

3. Sicherheit der SchlOsselverwaltung: Der Haupt- 
entschlOsselungsbegriff wird dint vom IC-Karten- 
verwalter verwaltet und die Zahl der Zugriffe ist 
relativ klein, Der Hauptentsdilusselnngsbegriff 
kann daher sicher verwaltet werden, Wenn weiter- 55 
hin ein Gesch&ft den Verschlusselungsbegriff oder 
den EntschlOsselungsbegriff unbeabsichtigt verlo- 
ren hat, kann der VeredbJOsseiungsbegriff oder der 
EntschlOsselungsbegriff in der KC-Karte Ieicht un- 
ter Verwendung des Hauptentschlfisselungsbegrif- go 
fes der Karte entnommen werden. 

4. Es ist mdglich, eine Anderung oder FSlschung der 
Daten in der IC-Karte und in der Bankdatei festzu- 
stellen. 

5. Im Notf all kann eine dritte qualifrrierte Person 55 
zu den Daten zugreifen und die Baten zum Nutzen 
des Besitzers der IC-Karte verwendea 

& Die Stufe zum Zugriff zu den Daten kann geteilt 
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werden, so daB die Daten innerhalb eines Bereiches 
einer gegebenen Stufe entnommen werden kdnnen. 
Die Daten, von denen der Besitzer der Karte nicht 
wunscht, daB andere Personen davon Kenntnis er- 
hahen, kdnnen vor dritten Personen geheim gehal- 
ten werden. 

7* Eine dritte qualifuiene Person klassifiziert die 
Daten in diejenigen, die in der Karte registriert 
werden, und diejenigen, die im Verwaltungszen- 
trum registriert werden, so daB dann, wenn ein Arzt 
diese Daten benutzt, der Arbeitsaufwand und die 
Kosten fOr einen Zugriff zum Zentrum Qber eine 
Datenverbindungsschaltung herabgesetzt werden 
kdnnen. 

Patentanspruch 

IC-Karte zum bidirektionalen Datentransf er mit ei- 
ner Vielzahl von Terminals, auf der ein Berecbti- 
gungscode fQr die Benutzung der Vielzahl von Ter- 
minals durch einen Besmtzer der IC-Karte gespei- 
chert iste dadtardhi g^ktsssmsdldhinietp 
daB ein Speicher des IC in eine Vielzahl von Berei- 
chenaufgetefltist, 

daB jedem der Bereidhe ein eigenes Verschlttssel- 
ungs- und EntschlOssefomgsbegriffspaar zugeord- 
netisf, 

daB die Daten jedes Bereiches bei Eingabe des dem 
Bereich zugeordneten Verschiusselungsbegriffes 
an einem der Terminals verschlusselt werden, 
daB die Daten jedes Bereiches bei Eingabe des dem 
Bereich zugeordneten EntschlOsselungsbegriff es 
an einem der Terminals entschltisseit werden, und 
daB die verschiedenen VerschlOsselungs- und Ent- 
schlOsselungsbegriff spaare jeweils einer Anzahl 
von Personen bekannt gegeben werden, urn die IC- 
Karte fQr diese Anzahl von Personen verwendbar 
zu gestalteru 
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